その漏えいしたID、自分の「お金」に直結していませんか?:半径300メートルのIT(2/2 ページ)
OCNから約400万件のメールアドレスと暗号化されたパスワードが漏えいしました。即座に被害が発生するとは限りませんが、口座情報などの重要情報をWebサービスに預ける場合の対策と覚悟を考えてみましょう。
「マスターIDが盗まれた」に気づけるか
今回、OCN IDと呼ばれるIDと、ハッシュ化したパスワードがセットで漏えいしています。ハッシュ化したパスワードはパスワードそのものではないので、これですぐにログインされるものではありません。ですが、今回の漏えいでは「不審なプログラムファイルが設置されていた」ということなので、実際のところ何が発生しているのかは確定できません(OCNは現時点において「それ以外の個人情報が流出した形跡は見つかっていない」としています)。
万が一、OCN IDのログインが可能な状態になっていた場合、OCN家計簿のようなアカウントアグリゲーションサービスを使えば、預金情報などにストレートにアクセスが可能になる状態ができているということです。
また、金融機関の登録情報には、住所や生年月日、連絡先などが表示されているでしょう。これらの情報をもとにコールセンター経由で電話をすれば、本人確認をすり抜けてしまう可能性もあります。
通常、金融機関の振込処理などは、Webサイトにログインする情報のほか、暗証番号などが必要です。しかし、一部金融機関ではそれを行うための情報までアカウントアグリゲーションサービスに登録をさせているものもあります。
これはつまり、マスターIDの下に、直接資産につながる重要な情報がひもづいていることになります。アカウントアグリゲーションサービスを利用している人にとっては、これは単なる情報漏えい事件ではありません。
少々気になりましたので、今回の流出情報から万が一パスワードが判明してしまったときに、どのような対応が取れそうなのかを考えてみました。OCN家計簿の場合は、下記の利用規約が関連しそうです(参照リンク)。
ざっくりまとめれば、もしものときの責任は利用者が負ってね、ということですが、この規約をどう判断するかは、読者のみなさまにゆだねるとしましょう。
便利/リスクのバランスを見直そう
結論としては当たり前なことになりますが、便利な機能の裏にはリスクがあることを考えなくてはなりません。往々にして、安全を考えると不便になり、便利を追求するとセキュリティに不安を感じることになるでしょう。しかし、直接私たちの「お金」が関係するならば、少々不便でも安全側に振っておいたほうが無難です。
クレジットカードに関する情報漏えいであれば、カード番号を変えることや、不正利用をカード会社側で停止することもできました。しかし、オンラインバンキングでの振込は即時に行われるため、止めるのは難しいかもしれません。これはOCNに限った話ではありませんが、もう一度金融機関に関連するID、パスワードを見直し、
- 金融機関で利用しているパスワードだけでも強固なものにかえる
- 金融機関のID、パスワードを他のサービスと連携しない、もしくは連携リスクを再度チェックする
など、安全の棚卸しをしてみてはいかがでしょうか。
関連記事
- 橋下市長、突然の「プリキュア」――その裏にあるセキュリティ危機
大阪の橋下徹市長のiPhoneを操作して、小学生の娘さんが「スマイルプリキュア」とツイート。仲の良い父と娘のほのぼの話、では片付けられない危機がそこには隠れています。 - 「きょう誕生日の人RT」「#ペットの名前」に反応してはいけない理由
ソーシャルネットワークサービスを使う人が増えてきました。自らの手で公開している個人情報を組み合わせることで、予想外のことまで分かってしまいます。 - ネット選挙活動解禁、だからこそ覚えておきたい「RTのタイミング」
リツイートやシェアは、1クリックで簡単に情報を広められる便利な機能です。でも、「脊髄反射」的に行うと手痛いしっぺ返しを食らうかもしれません。 - 今さらですがFacebook使うのって危ないよ、絶対
日本でも多くの人が利用するようになったFacebook。しかし、筆者はビジネスマン、特に経営層がFacebookを使うことの危険性を指摘し、ソーシャルネットワーキングサイトと私たちの将来を予想します。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.